troushoo

Process Monitor 解析時のTips :作者のMark Russinovich 氏のセッションより

155-0

概要

Process Monitor の作者である、Mark Russinovich 氏のセッションで紹介されていた、Process Monitor 解析時のTips を2つ紹介します。

内容

Process Monitor とは、ファイルやレジストリ等のアクセスの状況を調べられるフリーのツールで、マイクロソフトより提供されております。(Process Monitor の基本的な使い方は、以前のブログをご参照ください。)
今回は、Process Monitor の作者であるMark Russinovich 氏が、カンファレンスでのセッション(License to Kill: Malware Hunting with the Sysinternals Tools) で紹介していた、Process Monitor 解析時のTips を2つ紹介します。

Category フィルター
”Category” フィルターを用いると、書き込み/読み込みでフィルターをすることができます。
よって、例えば「書き込みをしているアクセスのみを表示させたい」といった時に便利です。

1. “Filter” ボタンをクリックします。
Filter ボタン

2. 書き込みアクセスのみを表示したい場合は、“Category” “is” “Write” として、”Add” をクリックし、”OK” を押します。
フィルターの設定

3. 書き込みアクセスのみが表示されます。
書き込みアクセスのみ表示

Process Tree
”Process Tree” を用いると、Process Monitor が実行されていた時に存在していたアプリの親子関係がわかります。
何が何を起動しかという事がわかり便利です。

1. “Tools” → “Process Tree” をクリックします。
Process Tree

2. “Process Tree” が表示され、プロセスの親子関係がわかります。
Process Tree

また、”Process Tree” を用いると、短期間しか実行されていなかったアプリもすぐにわかります。
短期間しか実行されていなかったアプリもわかる


情報元
License to Kill: Malware Hunting with the Sysinternals Tools (英語)

関連記事
ProcDumpでダンプの取得: v5.0からの新機能
  1. 2014/02/09(日) 22:11:52|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<IE11 のF12 開発者ツールを用いて、Web 表示時のボトルネックを調査する方法 | ホーム | Wireshark でHTTP のレスポンス時間の確認方法とその際の注意点>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/155-94846f5b
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (22)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する